Frameworks for software threats and security in secure DevOps
Tekijät
Päivämäärä
2022Pääsyrajoitukset
Tekijä ei ole antanut lupaa avoimeen julkaisuun, joten aineisto on luettavissa vain Jyväskylän yliopiston kirjaston arkistotyösemalta. Ks. https://kirjasto.jyu.fi/kokoelmat/arkistotyoasema..
Tämä artikkeligradu pohjautuu kahteen tietoturvallista ohjelmistokehitystä tutkivaan artikkeliin. Ensimmäisen artikkelin tavoitteena on kehittää kyber-turvallisuuden prosesseja tutkimalla ja arvioimalla valittujen uhkamallien ja haavoittuvuustietovarantojen integroimista. Tutkimuksen kohteena olivat yleisesti käytetyt mallit ja tietovarannot kuten STRIDE ja CWE. Toinen artikkeli käsittelee DevOps-ohjelmistokehitysmenetelmään ja sen tietoturvalliseen käyttöönottoon liittyviä haasteita ja käytänteitä. Tutkimuksen lähtökohtana oli aiemmin tehty tutkimusartikkelikatsaukseen perustuva Pro Gradu -tutkielma. Nyt tehdyn tutkimuksen tulokset vahvistivat tietoturvallisen DevOpsin suurimpien haasteiden liittyvän ohjelmistokehityksen putkiin ja pilviteknologiaan. Tunnistetut tietoturvatoimet luokiteltiin BSIMM-kypsyysmallin avulla ja tuloksia verrattiin BSIMM-projektin julkaisemaan top 10 -toimenpidelistaan. Lopputuloksena havaittiin, että tietoturvallisen ohjelmistokehityksen toimenpidetrendit ovat edelleen teknologialähtöisiä. Lisäksi tutkimuksen tulokset korostavat tietoturva- ja DevOps-asiantuntijoiden yhteistyön merkitystä.
Kun organisaatiot tavoittelevat laadukkaita ohjelmistotuotteita nopeilla ja automatisoiduilla ohjelmistokehityskäytänteillä, riskinä on ohjelmistoturvallisuuden jääminen taka-alalle. Takuuvarmoja toimia tietoturva-aukottomien ohjelmistojen kehittämiseen ei ole vielä keksitty, mutta siihen pyritään hyödyntämällä erilaisia malleja, viitekehyksiä ja menetelmiä monipuolisesti. Näitä malleja voidaan soveltaa esim. sanastoina, muistilistoina, mittatikkuina tai lähtökohtina tietoturvallisen ohjelmistokehityksen eri vaiheissa. Tyypillisiä alueita viitekehysten hyödyntämiselle ovat uhkamallinnus ja tietoturvallisuuden kypsyysarviointi. Saavutettavat hyödyt ovat kiistattomia: viitekehyksiä hyödynnetään riskien ja uhkien ennakointiin sekä tietoturvatoimiin liittyvien puutteiden ja katvealueiden tunnistamiseen.
...
This master's thesis is based on two articles on secure software development and utilization of models and frameworks in software development lifecycle. The first article aims to improve the cybersecurity processes by attempting to bridge the gap between threats and weaknesses. In this research the industry-accepted models and databases like STRIDE and CWE were in the main role. The second article deals with security challenges and practices for secure DevOps software development. This research was a review of the data extraction and analysis phase and results of an earlier made Systematic Literature Review (SLR) study. The updated list of challenges confirmed that the biggest challenges of secure DevOps are related to the development pipelines and cloud technology. The BSIMM maturity model was utlizied for classification of the identified security actions. As a result, the trends of security actions were formed and compared to the corresponding list of top 10 activities by the BSIMM project. The analysis of security actions and their trends revealed that the emphasis on technical aspects of software security continues. However, it was also notified that more attention should be paid on collaboration between DevOps and security specialists.
As organizations are thriving after good quality software products with the help of automated and fast software development practices, the threat is that software security is too often being left behind. The silver bullet of flawless software has not been invented yet but there are plenty of models, frameworks, methods, and methodologies whose aim is to protect software from invisible and unknown security threats. In this master’s thesis the themes covered in the attached articles are gathered and reviewed from the standpoint of selected models and frameworks used in secure DevOps. The role of these industry-accepted models and frameworks is diverse. They can be applied as, for example, taxonomy, mnemonic, measuring stick or baseline for building security in various phases of software development lifecycle. Threat modeling and information security maturity measurement are popular areas where frameworks are used. In these areas the advantage of frameworks is obvious: they are used to help to tackle even unknown risks and threats by using common databases, and to locate and evaluate the gaps in security practices.
...
Asiasanat
software security security framework DevOps threat model maturity model for software security turvallisuus tietoturva kyberturvallisuus ohjelmistokehitys tietotekniikka ohjelmistosuunnittelu ohjelmistotekniikka safety and security data security cyber security software development information technology software design software technology
Metadata
Näytä kaikki kuvailutiedotKokoelmat
- Pro gradu -tutkielmat [29740]
Lisenssi
Samankaltainen aineisto
Näytetään aineistoja, joilla on samankaltainen nimeke tai asiasanat.
-
Towards Practical Cybersecurity Mapping of STRIDE and CWE : a Multi-perspective Approach
Honkaranta, Anne; Leppänen, Tiina; Costin, Andrei (FRUCT Oy, 2021)Cybersecurity practitioners seek to prevent software vulnerabilities during the whole life-cycle of systems. Threat modeling which is done on the system design phase is an efficient way for securing systems; preventing ... -
Introducing Traceability in GitHub for Medical Software Development
Stirbu, Vlad; Mikkonen, Tommi (Springer International Publishing, 2021)Assuring traceability from requirements to implementation is a key element when developing safety critical software systems. Traditionally, this traceability is ensured by a waterfall-like process, where phases follow each ... -
Omission of Quality Software Development Practices : A Systematic Literature Review
Ghanbari, Hadi; Vartiainen, Tero; Siponen, Mikko (Association for Computing Machinery (ACM), 2018)Software deficiencies are minimized by utilizing recommended software development and quality assurance practices. However, these recommended practices (i.e., quality practices) become ineffective if software professionals ... -
Secure software design and development : towards practical models for implementing information security into the requirements engineering process
Väyrynen, Aino-Maria; Räisänen, Elina (2020)Vaatimusmäärittelyprosessin tavoitteena on kerätä ja jalostaa ratkaisuiksi tuotteen tai palvelun sidosryhmiksi tunnistettujen osapuolten ajatuksia ja tarpeita. Näiden ratkaisujen avulla poistetaan asiakkaan liiketoiminnassa ... -
Enhancing Productivity with AI During the Development of an ISMS : Case Kempower
Niemeläinen, Atro; Waseem, Muhammad; Mikkonen, Tommi (Springer, 2025)Investing in an Information Security Management System (ISMS) enhances organizational competitiveness and protects information assets. However, introducing an ISMS consumes significant resources; for instance, implementing ...
Ellei toisin mainittu, julkisesti saatavilla olevia JYX-metatietoja (poislukien tiivistelmät) saa vapaasti uudelleenkäyttää CC0-lisenssillä.